Webinar NIS2, wat komt er op ons af?

NIS2, Europese regelgeving cybersecurity

Dinsdag 16 januari 2024 bespraken Kiwa, BDO, Microsoft en Samen Digitaal Veilig in het webinar ‘NIS2, wat komt er op ons af?’ wat de gevolgen van NIS2 zijn voor uw organisatie, niet alleen vanuit een technische en organisatorische blik maar ook vanuit het perspectief van een toezichthouder. Daarnaast werd de voorbereiding en een heldere aanpak om cybersecurity pragmatisch en effectief in te richten besproken.

Wilt u meer weten? Neem direct contact op met een van de sprekers.

Wat NIS2 is, welke maatregelen u moet treffen en welke juist niet

Hoe u moet omgaan met leveranciers die ook aan de slag moeten

  • Daan Hoogendijk, Voorzitter bij IVBB - Instituut voor Branches en Beroepen (dh@ivbb.nl)

Welk certificeringsperspectief er is voor NIS2

Hoe Microsoft technologie kan helpen om aan NIS2 regels te voldoen

Samenvatting

1. Wat NIS2 is

De Europese Unie heeft de Network and Information Systems Directive (NIS2) opgesteld. Deze richtlijn verplicht organisaties die van vitaal belang zijn voor de maatschappij om hun beveiligingsmaatregelen te verbeteren en om aan te tonen dat zij voldoen aan de gestelde eisen. Deze richtlijn wordt momenteel omgezet naar Nederlandse wetgeving die naar verwachting in oktober 2024 van kracht wordt. Ondanks dat de vereisten nog niet zijn geformaliseerd in nationale wetgeving is wel duidelijk welke richting het op gaat en zijn de parallellen met bestaande raamwerken en good practices zoals ISO 27001 duidelijk.

2. Hoe u kunt checken of NIS2 van toepassing op uw organisatie is

Met de zelfevaluatie van de Rijksoverheid bepaalt u voor uw organisatie:

  • Is de NIS 2-richtlijn van toepassing op uw organisatie?
  • Is uw organisatie Essentieel of Belangrijk?
  • Valt uw organisatie onder Nederlands toezicht?

Check hier of NIS2 van toepassing is op u: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

3. Aan welke 13 eisen uw organisatie per oktober 2024 moet voldoen, aantoonbaar aan de toezichthouder

Vooralsnog hebben we uit de NIS2 richtlijn 13 eisen gedestilleerd en ingedeeld onder Opleidingsplicht, Zorgplicht en Meldplicht. In de bijlage I staan de dertien eisen toegelicht.

4. Hoe je met leveranciers kunt omgaan

De vijf stappen om als essentiële organisatie om te gaan met leveranciers:

  1. Risico-inventarisatie (per leverancier);
  2. Bepaling van norm (per leverancier);
  3. Bespreking implementatie met leverancier;
  4. Vastleggen afspraken in inkoopvoorwaarden;
  5. Afspraken implementeren en regelmatig opvolgen.

Ad2) Bepaling van norm. Afhankelijk van risico leg je normen op. Bijvoorbeeld het verplicht stellen van een basiskeurmerk voor laag risico leveranciers tot substiantial, high keurmerk of NEN, ISO en Dora voor hoog risico leveranciers. Of stel een eigen lijstje samen met eisen voor de verschillende groepen van leveranciers.

NEN en ISO normen zijn zwaar om te implementeren en zijn vooral passend voor hoog risico bedrijven. Deze hebben overlap met NIS2 echter NIS2 is breder. De extra eis die voor NIS2 nodig is, is cyberhygiene:

  • Patches en updates;
  • Netwerksegmentatie;
  • Gebruikersbewustzijn;
  • Cryptografie.
5. Hoe je je als leverancier aan vitale organisaties kunt voorbereiden op NIS2

Je kunt een keurmerk of certificering behalen dat past bij het risicoprofiel van jouw organisatie voor je klanten. Alternatief is dat je zelf zorgt dat je voldoet aan de eisen die passen bij het risicoprofiel van jouw organisatie voor je klanten. Een keurmerk of certificering is (vooralsnog) niet verplicht.

Meer info over de Keurmerken is te verkrijgen op www.samendigitaalveilig.nl.

6. Hoe technologie kan helpen bij het voldoen aan NIS2

NIS2 gaat over gedrag, het proces en techniek. Techniek kan het handmatig werk dat nodig is om NIS2 compliant te zijn, automatiseren. Niets meer en niets minder. Microsoft heeft 10 NIS2 eisen gedestilleerd uit de richtlijn. En voor deze 10 eisen hebben ze gekeken welke van hun producten deze eisen ondersteunen. Zie bijlage II voor de mapping.